在攻防實戰中 守護網絡安全

　　天津電力信通公司有一個由6名員工組成的網絡安全保障班組——網絡安全運營室。自2019年成立以來，該班組主要負責國網天津市電力公司網絡安全監控保障、技防體系建設、藍隊運營等工作。今年5月，網絡安全運營室獲得天津市護網2020網絡攻防實戰演習優秀防守團隊稱號。

　　11月8日下午，天津電力信通公司網絡安全運營室值班監測人員發現國網天津市電力公司部分單位的網絡正在遭受大量惡意攻擊。網絡安全運營室第一時間啟動惡意攻擊現場應急預案。班組員工迅速開展告警排查、封禁處置、分析溯源等工作。不到30分鐘，一場網絡安全風險就成功化解。

　　天津電力信通公司網絡安全運營室成立于2019年，現有員工6人，分為應急處置組、溯源反制組和監測分析組。目前，這6個人主要承擔國網天津電力本部網絡邊界、主機、終端和數據的安全防護工作，以及國網天津電力所屬28家基層單位的網絡邊界安全防護工作。

　　實戰攻防守好網絡安全防線

　　10月20日9時，網絡安全運營室班長張琛馨帶領5名班組員工、19名技術支撐人員正在處理來自境外的網絡攻擊。

　　張琛馨緊盯電腦監控屏，手指在鍵盤上不停敲擊，逐條篩查網絡安全態勢感知數據采集設備上的流量信息。一條告警信息引起了她的注意。仔細查看信息后，她對應急處置組組長范柏翔說：“我們監測到攻擊方正對我方系統進行數據庫注入。系統已自動處置，請立刻分析研判！”應急處置組成員對攻擊者的數據包開展流量分析和攻擊研判。“攻擊者針對的是蜜罐系統（一種對攻擊方進行欺騙的系統），未對真實業務造成影響。目前，防火墻已自動阻斷攻擊源。”范柏翔回答。

　　隨后，溯源反制組組長馬嘉麟帶領組員分析從蜜罐系統中探測到的攻擊者消息，試圖查明攻擊者的詳細信息。“找到了！這就是攻擊者！”不到10分鐘，溯源反制組成員找到了攻擊者的身份證號碼和真實姓名，立即向天津市公安局網絡安全總隊匯報該情況。

　　這是網絡安全運營室保障國網天津電力網絡安全的常態。

　　近年來，網絡安全運營室通過多次參與重大活動網絡安全保障工作，建立了更為清晰的網絡安全布防圖及聯動機制。在今年國慶節期間，該班組成功攔截攻擊10.26萬次，封禁互聯網高危攻擊IP地址13.69萬個，部署20個蜜罐網站，誘騙攻擊方火力3.1萬次，確保國網天津電力網絡安全防線堅實穩固。

　　網絡安全運營室共參與國家級網絡安全保障工作5次、天津市網絡安全保障工作8次、國家電網有限公司網絡安全保障工作22次。

　　利用“技能樹”實施人才培養

　　10月26日，在第二屆“指揮官杯”能源互聯網主動防御安全技能大賽總決賽現場，由網絡安全運營室3名員工組成的藍隊與其他29支藍隊一起對抗30支紅隊的攻擊。經過激烈角逐，這支隊伍獲得團體獎藍方三等獎。三人表示，取得這樣的成績，得益于網絡安全運營室實施的“技能樹”人才培養機制。

　　2020年，網絡安全運營室為提高班組員工的專業技能水平，開始實施“技能樹”人才培養機制。班組采用樹式培養方法，將網絡安全技能分為三個層次，對班組員工開展初、中、高級培訓，有針對性地提升初級人才的基礎能力、中級人才的專業能力和高級人才的攻防對抗能力。在實戰方面，班組還組織員工參加網絡安全競賽，加強網絡安全監測預警和協同處置演練，提升班組員工在重大活動保障和護網演習中網絡溯源、主機加固、漏洞利用等方面的實戰技巧。

　　網絡安全運營室6名班員每個星期輪流擔任講師，促進班組全員網絡安全防護技能水平提升。

　　“只有把實戰型人才培養出來，我們在應對網絡攻擊威脅、保障網絡信息安全時才更有底氣。”天津電力信通公司信通調控中心副主任何金說。

　　依托“技能樹”人才培養方式，網絡安全運營室全體成員的專業技術和能力水平得到快速提升。2020年，張琛馨、范柏翔獲得注冊信息安全專業人員認證。

　　自主創新升級防御技術

　　10月13日15時，班組員工龔亞強突然聽到“鍵盤級”全景網絡安全運行監測平臺系統發出警報聲。他迅速沖到監控屏幕前查看，發現天津電力信通公司正在遭受敏感文件探測攻擊。龔亞強第一時間準備封禁攻擊來源，卻發現該地址早已被系統自行處置。不僅如此，系統還自行完成了對攻擊方的攻擊手法、威脅趨勢分析及資產安全態勢的分析。

　　“鍵盤級”全景網絡安全運行監測平臺是網絡安全運營室于2020年自主設計開發的系統。該系統初步實現了全景態勢監控，可以針對關鍵業務的關鍵指標實現邊界防護、終端防護和數據防護的一體化聯動，為國網天津電力提供可持續的主動安全運營服務。

　　從網絡安全層面來看，各企業均默認內網是安全可靠的。但在今年4月份，網絡安全運營室洞察潛在危險，打破“內網信任”的固有印象，在國網天津電力典型物聯業務中構建內網“零信任”安全防護體系，按照“統一身份認證、持續信任評估、動態訪問控制”的思路，打造了具有較強風險應對能力的安全閉環。

　　在今年5月份舉辦的2021年天津市網絡攻防實戰演習中，網絡安全運營室成員依托“鍵盤級”全景網絡安全運行監測平臺及內網“零信任”安全防護體系，成功封堵了來自攻擊團隊的全部攻擊手段。

　　目前，網絡安全運營室正在探索如何構建多維度的“鍵盤級”安全管控體系。